As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Usando funções vinculadas a serviços para AWS CloudTrail

AWS CloudTrail usa AWS Identity and Access Management (IAM) funções vinculadas ao serviço. Uma função vinculada ao serviço é um tipo exclusivo de IAM função vinculada diretamente a. CloudTrail As funções vinculadas ao serviço são predefinidas CloudTrail e incluem todas as permissões que o serviço exige para ligar para outras pessoas Serviços da AWS em seu nome.

Uma função vinculada ao serviço facilita a configuração CloudTrail porque você não precisa adicionar manualmente as permissões necessárias. CloudTrail define as permissões de suas funções vinculadas ao serviço e, a menos que seja definido de outra forma, só CloudTrail pode assumir suas funções. As permissões definidas incluem a política de confiança e a política de permissões, e essa política de permissões não pode ser anexada a nenhuma outra IAM entidade.

Para obter informações sobre outros serviços que oferecem suporte a funções vinculadas a serviços, consulte AWS Serviços que funcionam com IAM e procure os serviços que têm Sim na coluna Função vinculada ao serviço. Escolha um Sim com um link para visualizar a documentação da função vinculada a esse serviço.

Permissões de função vinculadas ao serviço para CloudTrail

CloudTrail usa a função vinculada ao serviço chamada AWSServiceRoleForCloudTrail— Essa função vinculada ao serviço é usada para apoiar trilhas da organização e armazenamentos de dados de eventos da organização.

A função AWSServiceRoleForCloudTrail vinculada ao serviço confia nos seguintes serviços para assumir a função:

Essa função é usada para apoiar a criação e o gerenciamento de trilhas CloudTrail organizacionais e armazenamentos de dados de eventos da organização CloudTrail Lake em CloudTrail. Para ter mais informações, consulte Criar uma trilha para uma organização.

A CloudTrailServiceRolePolicypolítica anexada à função permite CloudTrail concluir as seguintes ações nos recursos especificados:

Você deve configurar permissões para permitir que uma IAM entidade (como usuário, grupo ou função) crie, edite ou exclua uma função vinculada ao serviço. Para obter mais informações, consulte Permissões de funções vinculadas ao serviço no Guia do IAMusuário.

Criação de uma função vinculada ao serviço para CloudTrail

Não é necessário criar manualmente uma função vinculada ao serviço. Quando você cria uma trilha da organização ou um armazenamento de dados de eventos da organização, adiciona um administrador delegado no CloudTrail console ou usa a API operação AWS CLI or, CloudTrail cria a função vinculada ao serviço para você, caso ela ainda não exista.

Se você excluir esse perfil vinculado ao serviço e precisar criá-lo novamente, poderá usar esse mesmo processo para recriar o perfil na sua conta. Quando você cria uma trilha da organização ou um armazenamento de dados de eventos da organização, ou adiciona um administrador delegado, CloudTrail cria a função vinculada ao serviço para você novamente.

Editando uma função vinculada ao serviço para CloudTrail

CloudTrail não permite que você edite a função AWSServiceRoleForCloudTrail vinculada ao serviço. Depois que criar um perfil vinculado ao serviço, você não poderá alterar o nome do perfil, pois várias entidades podem fazer referência a ele. No entanto, você pode editar a descrição da função usandoIAM. Para obter mais informações, consulte Editando uma função vinculada ao serviço no Guia do IAMusuário.

Excluindo uma função vinculada ao serviço para CloudTrail

Você não precisa excluir manualmente a AWSServiceRoleForCloudTrail função. Se um Conta da AWS for removido de uma organização da Organizations, a AWSServiceRoleForCloudTrail função será automaticamente removida dessa organização Conta da AWS. Não é possível desanexar ou remover políticas do perfil vinculado ao serviço AWSServiceRoleForCloudTrail em uma conta de gerenciamento da organização sem remover a conta da organização.

Você também pode usar o IAM console, o AWS CLI ou o AWS API para excluir manualmente a função vinculada ao serviço. Para isso, primeiro você deve limpar manualmente os recursos de sua função vinculada ao serviço e, em seguida, excluí-la manualmente.

Para remover um recurso usado pela função AWSServiceRoleForCloudTrail, você pode executar uma das seguintes ações:

Para excluir manualmente a função vinculada ao serviço usando IAM

Use o IAM console AWS CLI, o ou o AWS API para excluir a função AWSServiceRoleForCloudTrail vinculada ao serviço. Para obter mais informações, consulte Excluindo uma função vinculada ao serviço no Guia do IAM usuário.

Regiões suportadas para funções vinculadas a CloudTrail serviços

CloudTrail suporta o uso de funções vinculadas a serviços em todos os Regiões da AWS lugares onde e em CloudTrail Organizations estão disponíveis. Para obter mais informações, consulte Serviço da AWS endpoints na Referência geral da AWS.